鸿 网 互 联 www.68idc.cn

盛大180天渗透纪实 第三章.FirstBlood! (某站上传导致服务器沦

来源:互联网 作者:佚名 时间:2016-05-07 10:08
上回说道:漏洞导致源码及敏感数据库信息泄露:http://www.2cto.com/Article/201305/210572.html Tips: 由于时间较长,有些漏洞可能已经更改或修复,所以某些场景只能通过以前截图来还原事件环境。 本次渗透可能涉及一些数据资料,但绝未脱库,谢绝跨省o(︶

上回说道:漏洞导致源码及敏感数据库信息泄露:http://www.2cto.com/Article/201305/210572.html

Tips:
·由于时间较长,有些漏洞可能已经更改或修复,所以某些场景只能通过以前截图来还原事件环境。

·本次渗透可能涉及一些数据资料,但绝未脱库,谢绝跨省o(︶︿︶)o (相信盛大不是这样滴厂商~)
详细说明:经过上次测试后,很长一段时间都没啥进展。。。

 

后来才发现,盛大业务之广超过了大多数网商。

 

这么多业务,IP段一定不止这一点。

 

这次,于是花了半小时,重新更新了一下IP段信息。

 

但仍然没扫描出太多有利用价值的东西。

 

这时,某神经君说:最好调整下思路。比如。。。偏僻一点的端口。。?如81 8000 8001 8080 8081?

 

好吧。。听取了它的建议,添加了这些端口重新进行端口扫描,然后将过滤后的主机导入后台扫描工具扫描敏感信息。。

 

终于,在125.64.2.61:81中发现了fckeditor,并且可以直接访问。



版本2.6.3,遍历了下全盘,和上次发现的另一个服务器架构差不多一样。

接着进行后台未授权测试,失败。。。

 

这时,一个细节吸引了注意。

这个站所对应的上传目录貌似与其它的服务器不同。

 

是不是说明,这站上传文件不是到达up.sdo.com、up2.sdo.com、img.sdg-china.com,而是在本地呢??!

 

如果是在本地,win2003系统,IIS解析不就能派上用场了么..?

 

虽然有点难以相信(因为盛大这种大公司暴fck上传漏洞的记录应该为0)

不过还是试了试,上传了一个文件。。。。

 

what the god! 真是上传到了本地!



一阵兴奋后,连忙畸形文件上传。。。

 

然后看到了可爱的execute报错提示。。。



连忙菜刀连接之。。。



获取了14个数据库连接信息。

同IP段的其它数据库连接信息。

远程服务器FTP连接信息。


遍历磁盘,证实了先前的猜测(盛大服务器通用FTP上传)





 


不过貌似已经无法连接了。。 看修改日期,是08年的。。。。。。



数据库连接后,未发现管理员有效密码,看登录文字也明白了,盛大的管理后台都是通过统一应用管理平台授权的。



其实盛大的服务器安全还是做得比较好的。

服务器数据库禁止外连,远程桌面也做了安全策略,防止了服务器的进一步提权。



但由于数据库权限是dbown,所以没有进一步的利用。。。

而且这站貌似已经是一个过期的业务后台,所以没有涉及到核心业务,也就对下一步的渗透没起多大的帮助咯。。。

 

至于Fckeditor嘛。。 应该说百密必有一疏。这么多Fckeditor编辑器,哪里能完全注意到没进行安全修改呢。。?

 

其实现在回过头看,这个站是盛大唯一一个有Fck上传漏洞的站。。。
 


 

修复方案:

·删除本例中涉及的所有网站木马,并进行全盘木马检查。

·更改本例中涉及的所有数据库密码。

·Fckeditor升级至最新版。

网友评论
<